首页
社区
课程
招聘
[原创]微点主防不给力
发表于: 2010-11-5 13:45 8390

[原创]微点主防不给力

2010-11-5 13:45
8390

前几天有个兄弟不是要找个过微点主防的样本啊,今天来教你亲手打造一个。
用gh0st1.0版本。下载URL: http://www.hack590.com/soft/softdown.asp?softid=348
配置不说了,这里测试,就用127.0.0.1 80生成木马。压缩包里的 “server.ex_.生成出来的原版”。在有微点主防的系统下运行。被杀,见图:

现在我们来做个简单的处理。用个16进制根据修改某个很关键的地方来达到我们的效果。如图:

修改后的文件见压缩包里的“server.ex_.已经修改1个字节之后的”
现在我们再次将虚拟机还原。重新运行修改之后的客户端。如图,成功上线!并且微点无提示。重启依然上线。

微点主动防御版本(2010.11.04发布版):

木马在注册表中创建的服务项:

原理分析见:
http://hi.baidu.com/80695073/blog/item/d48bceefc4a6a939acafd582.html
他们研发可能这几天看TX大战360去了!不给力。
附件是相关测试文件和图片。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (6)
雪    币: 300
活跃值: (179)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
2
gh0st1.0的下载地址好像弄错了。
http://www.520lmm.com/soft/softdown.asp?softid=2844
应该是这个。
2010-11-5 13:55
0
雪    币: 167
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
智者千虑必有一失
微点判断命令的时候 应该把"/"与上就行了,当时应该只考虑了“-”这一种情况

这都被你发现了,免杀都做到主防头上了  牛
2010-11-5 14:24
0
雪    币: 75
活跃值: (738)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
这类没有异常行为的程序,微点还是用的特征码查杀吧。
ghost1源码我看过,创建了一个服务,用这个服务完成远程控制。从程序行为上来说,和你用远程控制软件管理自己的服务器一样,没有什么区别。在微点看来,ghost1和正常的远程控制软件是一样的。
ghost1会释放一个驱动,而微点是直接放过了驱动加载,好像它对把exe文件放在资源里的做法也是不杀的吧。

可能每个公司考虑不一样吧,像360这类,就是宁可错杀一千,也不会漏杀一个,规则比较好写,每个可能的地方都拦都提示就是了(举个例子,自己通过ie选项设置主页,360不管那么多,还是照样报提示,很烦,加个判断会清净很多)

微点,我感觉,更多考虑的是准确率,少误报,尽量少干扰用户,要做到这点,规则反而复杂难度更高
2010-11-5 14:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
楼主重启试下,报不报,还有你的控制端也在VM里,拿到VM外面看还能不能上线
2010-11-8 10:54
0
雪    币: 230
活跃值: (426)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这个时候暴,好没意思,过个微点有啥好稀奇的!
来个360不给力的东西吧!!
2010-11-8 18:16
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
哈哈,感谢lz!
前几天求过微点的样本的正是小弟,现在我的论文写的已经差不多了,研究微点的过程中发现了微点的一个bug,ring3下可以随意注入任何恶意代码而不会被报,等毕业了后 把它丢出来
2010-11-9 18:54
0
游客
登录 | 注册 方可回帖
返回
//